Me preguntan muchas veces en empresas donde acudo a asesorar o adaptar a la normativa de protección de datos de carácter personal, qué cual es el nivel de seguridad que les corresponde a los ficheros de datos relativos a los trabajadores o plantilla de la entidad.
Como han leído previamente en el Reglamento de desarrollo de la LOPD que datos como los relativos a salud o afiliación sindical, se considerarían de nivel alto, con buen criterio piensan que el fichero que se notifique a la Agencia Española de Protección de Datos, también debería ser de nivel alto.
Pues la respuesta correcta, salvo algún caso excepcional, es que no, no son de nivel alto: los ficheros de datos de trabajadores se consideran de nivel básico.
Veamos por qué.
Antes de nada, debéis saber que la normativa sobre protección de datos de carácter personal establece que hay tres niveles de seguridad para estos datos, que consisten en medidas de seguridad más o menos “intensas” en función de que estemos en el nivel básico, medio o alto, que son los tres que fija el reglamento de desarrollo de la LOPD.
El artículo 81 del referido Reglamento (aprobado por Real Decreto nº 1720/2007, de 21 de diciembre) explica a qué tipo de datos se le aplica cada nivel.
Entre los de nivel alto están:
Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
Es precisamente en esa norma en la que se basan muchos para entender que los datos de los trabajadores deberían ser de nivel alto, ya que es habitual que se tengan en la empresa datos de afiliación sindical del trabajador, grado de minusvalía o un simple parte médico de baja.
Pero hay que seguir leyendo el artículo 81 para encontrar que sus párrafos 5 y 6 hacen una serie de excepciones:
5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
b)Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Además, hay un informe de la Agencia Española de Protección de Datos, que puedes leer en su web aquí:
En él, como idea general se establece que:
En el supuesto consultado, el fichero de empleados contiene un conjunto de datos de carácter personal que parecen datos vinculados al desenvolvimiento de la relación laboral con el empleador, de forma que si, como es el caso, contiene únicamente el nombre, apellidos, D.N.I, dirección, firma, datos bancarios, fecha de nacimiento, edad, estado civil, nacionalidad, así como el número de afiliación a la seguridad social, se considerará suficiente la implantación del nivel de seguridad básico, siempre que no contenga datos especialmente protegidos- datos de ideología, religión, creencias, origen racial, salud o vida sexual-, así como los recabados para fines policiales sin consentimiento de los titulares o que contengan datos referidos a actos derivados de la violencia de género.
Sobre los datos de minusvalía, continúa diciendo el Informe que si son los supuestos en que aparecen como porcentaje en las nóminas para calcular el nivel de retención aplicable, se aplica el nivel básico.
El informe termina hablando de los datos curriculares, que podrían considerarse de nivel medio, ya que permiten crear perfiles de las personas. La Agencia responde esto:
La consulta no aporta información acerca de los datos contenidos en los mencionados ficheros. No obstante, dada su propia denominación, cabe considerar que en principio los mismos contendrían únicamente los datos necesarios para el mantenimiento de una relación laboral con la consultante, por lo que, en principio, podría entenderse que los mismos no se encuentran comprendidos en la previsión contenida en el artículo 81.2 f) del Reglamento.
No obstante, si los datos curriculares que se incorporan al fichero contienen información muy detallada sobre el sujeto, por ejemplo, sus aficiones o un perfil de estudios muy concreto, el nivel de medidas de seguridad a implementar sería el medio.
No sé si esta entrada te habrá servido para aclarar tus dudas o para aumentarlas. Si te encuentras en el segundo supuesto, no te preocupes: en materia de protección de datos eso es lo normal…